WinRARは、Windows向けのファイル圧縮・解凍ソフトのことです。
RAR形式やZIP形式など、様々な圧縮形式に対応しており、特にRAR形式での圧縮は高い圧縮率を誇ります。
圧縮解凍ソフトに期待される自己解凍書庫の作成やパスワード設定、分割圧縮など、便利な機能も多数搭載されていますので、よく利用されているソフトウェアです。
このWinRARの脆弱性が実際の攻撃活動で悪用されてしまっていることが確認されています。
- CVE-2025-8088
これは、WinRARのパストラバーサル脆弱性です。
この脆弱性の場合にはパストラバーサルに代替データストリーム(ADS)を使用します。
この脆弱性は2025年7月30日に対策が施されたものがリリースされたばかりなのですが、類似する脆弱性は2025年6月19日にも対策されてリリースされていました。
この手法で細工したアーカイブファイルには、通常の方法で見ると正当なファイルが一つだけ含まれているもののように見えるのですが、実際には多数のADSが含まれた状態になっていました。
このアーカイブを展開すると、無害なファイルが展開されるのと一緒にADSも展開されます。
このADSで展開されるファイル群がマルウェアとなっていたということです。
悪意あるDLLやLNKファイルがその内容で、PCの各所に展開され、永続化された状態に配置されます。
そして今回の攻撃では、これらのファイル群は、3つの攻撃の流れを開始します。
- Mythic Agent
この攻撃はLNKファイルから開始されます。
COMハイジャックのレジストリ位置にmsedge.dllを追加し、次にそのDLLはAESシェルコードを復号化し、そしてシェルコードはMythic Agentを起動します。
開始されたMystic Agentは、C2通信、コマンド実行、ペイロード配信を開始します。 - SnipBot
この攻撃もLNKファイルから開始されます。
このLNKはマルウェアであるexeファイルを実行し、それがシェルコードを復号化し、攻撃者のサーバーから追加のペイロードをダウンロードします。
このLNKから起動されるexeには、最近開いたドキュメントの履歴が多数あるかを確認する機能が搭載されています。
研究者による解析を回避するための機構です。 - MeltingClaw
この攻撃もLNKファイルから開始されます。
このLNKもマルウェアを配置し実行します。
実行されるものは、RustyClawです。
RustyClawは以前から観測されているRustで書かれたマルウェアです。
WinRARは高機能なソフトウェアです。
高機能なソフトウェアの多くは、複雑なコードを駆使して実装されていることでしょう。
高機能で複雑な機構のソフトウェアには、脆弱性だけでなく、多くのバグが含まれている可能性が考えられます。
ちょっとアーカイブファイルを展開しただけ、で、もうそこには多くのマルウェアが活動を開始してしまっているかもしれません。
恐ろしいことです。
しかし、この脆弱性はすでに対策され、対策が含まれている新しいバージョンが利用可能な状態になっています。
対策はいつも通りです。
適切なパッチケイデンスで乗り切りましょう。
Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability
https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/
| この記事をシェア |
|
|---|
